Перейти к содержимому
Калькуляторы

Выбираю transparent firewall с дружелюбным GUI

Доброго времени суток!

 

Посоветуйте, пожалуйста, девайс под ТЗ:

нужен прозрачный firewall, который бы не был next hop'ом в роутинге, позволял фильтровать трафик по самым разнообразным критериям (торренты, skype, web, всякие там deposit files и т.д., "одноклассники" и т.п.) и самое главное имел дружелюбный и простой для не специалиста веб.интерфейс. Траффика - несколько мегабит.

Если есть что-то из личного опыта - буду премного благодарен :)

 

Спасибо заранее!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mikrotik -> bridge filters

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

mikrotik -> bridge filters

 

не подскажете что бы почитать на эту тему... Если б можно было взглянуть на скриншот с интерфейса (касательно сабжа), а то у микротика очень плохо дела обстоят с документацией.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может какой-нибудь аппаратный firewall посоветуете? Cisco ASA наверное хорошее решение, но cli...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Неужели никто не сталкивался ни с чем подобным?!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Firebox от WatchGuard.

http://www.rnbo.ru/catalog/2/

Для тех у кого бабла навалом, а самому разобраться в линухе желания нет. )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Реальная штука, только по описанию непонятно - она прозрачная или все-таки будет next hop'ом...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нужно именно девайс, через который проходит трафик?

Для подобных задач можно ставить железку в стороне.

Из тех, что используем, webSense так может работать. Умеет все, что указано, в нашей схеме получая зеркалированный трафик.

Из плюсов схемы - если упал - не фильтрует и все. Трафик идет все равно.

 

Умеет работать как прокси, а вот как прозрачный фильтр - не знаю.

 

Cisco ASA может работать как прозрачный Firewall, но будет ли адекватно фильтровать контент - не могу сказать.

Для таких задач надо можно недавнее приобретение Cisco IronPort. Умеет ли он быть прозрачным - тоже не знаю.

Изменено пользователем SergeiK

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нужно именно девайс, через который проходит трафик?

 

Именно так - есть сеть, в которой ничего нельзя менять, доступа к оборудованию и серверам нет, но нужно закрывать/открывать выход на те или иные ресурсы (соц.сети, качалки и т.д.) для локальных пользователей.

Соответственно железка должна быть полностью прозрачна и с интуитивным web управлением, так как сисадмина они под это дело нанимать не будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у микротика очень плохо дела обстоят с документацией.

Нормальная там документация - http://wiki.mikrotik.com

 

RouterOS можно попробовать в виде демо на любом PC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Реальная штука, только по описанию непонятно - она прозрачная или все-таки будет next hop'ом...

 

Bridge/router настраивается исходя из задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2+ коммутатор с ACL.

 

У PC based есть фишка: они могут пропускать сквозь себя весь не IP трафик без возможности фильтрования.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

L2+ коммутатор с ACL.

 

Сказки и голая теория. На практике же не хватит TCAM'а как только начнёте писать ACL, в которых будут все 100500 порносайтов и вконтактов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может какой-нибудь аппаратный firewall посоветуете? Cisco ASA наверное хорошее решение, но cli...

 

у ASA есть ASDM ( Adaptive Security Device Manager): http://www.cisco.com/en/US/products/ps6121/index.html

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Linux. eb_tables.

 

Гуя нет. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco SCE все это делает и имеет GUI. Вот только на таком объеме трафика врядли пройдет по деньгами, но GUI... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю мне нужно как минимум cisco ASA 5510:

http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range

так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое:

"Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM)

Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю?

 

Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет?

Изменено пользователем survivor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если есть денег и надо сертификат поищите ССПТ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если есть денег и надо сертификат поищите ССПТ.

 

Сертификат вообще не нужен, но железка понравилась. Только вот мой опыт общения с крониксом и натексом говорит о том, что с большой долей вероятности это какой-то невыговариваемый китайский бренд, с налепленным поверх логотипом российской компании, а в нем - ужасно глючный, ограниченный по функционалу и неудобный софт, абсолютно не поддерживаемый и не развиваемый... Обжегшись на молоке ДВАЖДЫ - воду обходишь стороной...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я сам честно говоря склоняюсь к cisco ASA или mikrotik'у... но все же ни по документации и скиншотам точно не уверен подходят ли они под мою задачу: гибкая фильтрация на L3-L7 в режиме прозрачного firewall'а да еще и через GUI.

http://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall

http://wiki.mikrotik.com/wiki/L7

 

Без скриншотов, но если разберётесь в CLI, то разберётесь и в WinBox'e.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что скажете про такую штуку: http://www.checkpoint.com/products/firewall-software-blade/index.html#

и вот эта тоже очень даже ничего: http://www.fortinet.com/solutions/firewall.html

Изменено пользователем survivor

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я так понимаю мне нужно как минимум cisco ASA 5510:

http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html#~mid-range

так как только там появляется "Anti-spam, anti-phishing, URL filtering", кстати а что такое:

"Content Security (Anti-virus, Anti-Spyware, File Blocking)" --- Yes (with CSC SSM)

Это как... антивирус прямо в циске всего проходящего траффика? На лету? А как он апдейтится? или я чего-то не так понимаю?

 

Насчет ASDM... мне всегда страшно не нравился обычный SDM, какой-то он ограниченный по сравнению с cli. ASDM получше будет?

Ну ASDM дает на выходе CLI - неудобочитаемый, а так в принципе работает... но я им не пользуюсь... CLI приятнее...

в принципе можно создать базовый конфиг посредством ASDM, затем причесать ручками (понятные имена ACL, политик), а затем уже управлятся ASDM...

Модуль SSM-AIM - это фактически отдельный писюк со своим ПО (линуксом), вставляемый в корпус ASA...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.